前些日子在Windows系统日志–审核里面发现大量审核失败的日志！并且是一直有，清理了之后还有：

百度了下，说是NTlmssp攻击，我有开3389，但修改了端口，好几W的大端口，并没用默认的。可见，大概端口扫描判断协议的，百度后得到解决方法：

gitdit.msc 组策略 修改成上图那样就好了，瞬间清理完系统日志，也没见大量刷新出现了，最后提醒各位，开3389，一个是别用默认端口，一个是把administrator账号也修改一下名字。